Le règlement européen sur la protection des données est entré en application le 25 mai 2018: si de nombreuses formalités disparaissent auprès de la CNIL, il appartient désormais aux organismes d’assurer une protection optimale des données à chaque instant, et d’être capable de démontrer leur mise en conformité au RGPD sous peine d’encourir des sanctions (financières, organisationnelles, publication.…)
Votre structure est concernée par le RGPD et vous souhaitez vous mettre en conformité mais voilà…vous ne savez pas par où commencer? Vous vous sentez un peu perdus face à des éléments qui vous paraissent peu concrets à appliquer au quotidien?
DNA vous aide à faire le point, quelle que soit la taille de votre entreprise!

La cartographie des traitements: point de départ de votre mise en conformité RGPD

S’il n’y a pas de marche à suivre réellement imposée pour la mise en conformité RGPD, celle-ci passe cependant par un certain nombre d’étapes clés qui vous permettront d’établir l’écart de conformité entre vos pratiques et les obligations du RGPD/ de la loi Informatique et Libertés.
Au commencement de votre mise en conformité se trouve la cartographie/inventaire de vos traitements. Vous ne savez pas comment faire? DNA vous propose ses services afin d’ y voir plus clair dans votre projet de mise en conformité! Nos experts vous guident afin de réaliser l’inventaire de vos traitements. Cet inventaire permet d’avoir une vision d’ensemble et de maîtriser vos traitements de données.

La mise en conformité RGPD: passez à l’action avec DNA!

Une fois vos activités de traitement bien identifiées, la mise en place du registre de vos activités pourra commencer, ainsi que d’autres actions nécessaires à la mise en conformité RGPD :
- sécurisation de votre système d’information
- mise en place de vos documents d’information, de recueil de consentement
- mise en place ou révision de vos contrats avec vos sous-traitants

Parce que vous devez être en conformité à chaque instant et en mesure de le démontrer, ces actions, pour être efficaces, doivent perdurer dans le temps… Evidemment, DNA se tient à vos côtés pour assurer le suivi de votre mise en conformité!

Vous vous posez encore des questions pour savoir par où commencer pour votre mise en conformité RGPD? N’hésitez pas à nous contacter!

OUI. A partir du moment où votre entreprise collecte des données personnelles, la réponse est oui! La taille de l’entreprise n’a rien à voir avec le respect du RGPD.
Le RGPD s’applique à toute organisation effectuant un traitement de données personnelles:
si le siège de l’entreprise est établi sur le territoire de l’Union Européenne
si son activité cible directement les résidents de l’Union Européenne

Donc…que vous soyez à la tête d’une PME ou TPE, que vos interlocuteurs soient des entreprises privées ou des organismes publics, en B2B (activités entre professionnels) comme en B2C (activités avec des clients non professionnels) et quel que soit votre chiffre d’affaires annuel : vous êtes concerné par le RGPD!

Vous avez besoin d’aide pour votre mise en conformité RGPD? Avec DNA, évaluez votre niveau de mise en conformité, bénéficiez d’une aide à la mise en oeuvre des outils RGPD et assurez le suivi de votre mise en conformité sur le long terme!

Ce besoin s’analyse au regard de l’article 37 du RGPD. Cet article oblige de recourir à un délégué à la protection des données (DPD = DPO) dans 3 cas spécifiques, notamment lorsque votre activité de base est le traitement « à grande échelle » de données sensibles. Le Comité Européen de la Protection des Données (CEPD) est venu clarifier cette obligation au sein de lignes directrices.
DNA vous aide à analyser ce besoin à la lumière de ces textes. L’obligation de désigner un DPO n’a rien à voir avec la taille de votre entreprise, et si vous n’êtes pas soumis à cette obligation, le CEPD et la CNIL vous encouragent néanmoins à désigner un référent chargé de la bonne gestion de la protection des données personnelles.

Dans le Règlement général sur la protection des données, le délégué à la protection des données (DPO) revêt une importance capitale : en tant que tel, il doit s’assurer que toutes les données personnelles sous la responsabilité de l’entreprise sont utilisées de façon appropriée. L’article 39 du RGPD définit le rôle et les missions qui sont confiées au DPO.

Les missions du DPO dans le cadre de l’article 39 du RGPD

Le RGPD impose la désignation d’un DPO dans 3 cas .

Selon l’article 39 du RGPD, le délégué à la protection des données est chargé de :

- Informer et conseiller l’organisme dont il est DPO. Cela consiste par exemple à former et sensibiliser le personnel sur les dispositions de la loi sur la protection des données, assister dans la mise en œuvre de politique internet et externe de protection des données, mener des consultation sur tout projet relatif à un traitement de données personnelles et être impliqué en amont de ces projets etc..
- Contrôler le respect des principes de protection des données, en effectuant notamment des audits, des contrôles réguliers concernant les finalités, les responsabilités, le respect des droits des personnes concernées etc.
- Conseiller sur la nécessité et la mise en œuvre d’une Analyse d’impact relative à la protection des données (AIPD), s’assurer de son exécution.
- Coopérer et être le point de contact avec l’autorité de contrôle (CNIL)

L’article 39 du RGPD… en clair!

On comprend bien qu’être DPO est un métier à part entière et central, pas une simple fonction. Le choix de votre délégué à la protection des données est donc primordial.
Les missions fixées par l’article 39 du RGPD impliquent que le DPO connaisse tous les textes juridiques, et les pratiques en matière de sécurité des données, dispose d’une expertise en matière de protection des données personnelles, soit impliqué dans chaque projet lié à un traitement de données, travaille en lien avec les équipes métiers afin de mettre en œuvre efficacement les mesures nécessaires au respect des principes du RGPD.
Une bonne connaissance du secteur d’activité, de l’organisation interne et de l’ensemble des opérations de traitement sont autant d’éléments à prendre en compte pour le choix de votre DPO.
Ce dernier peut être une personne interne à l’entreprise, mais vous pouvez également avoir recours à un délégué à la protection des données externe.

Vous souhaitez de plus amples renseignements sur les missions confiées au DPO dans le cadre de l’article 39 du RGPD?
N’hésitez pas à nous contacter, nous serons heureux de vous apporter les précisions dont vous avez besoin!

Comme de nombreuses entreprises traitant des données personnelles, vous êtes concerné par la mise en conformité RGPD et vous vous demandez quel budget prévoir si vous choisissez d’externaliser votre DPO?
DNA, votre cabinet d’experts spécialisés dans la protection des données, vous aide à y voir plus clair.

Budgétisez le coût de la mise en conformité en externalisant votre DPO

Le budget imparti à la conformité peut être important pour les organismes et peut réserver des surprises et des coûts cachés, surtout en cas de désignation de DPO interne : ce dernier sera certainement rémunéré au même niveau de grandeur que celui d’un cadre supérieur.
Le coût d’un DPO externe sera moins important parce qu’il ne travaille pas à plein temps et sa disponibilité pourra être régulée en fonction de la charge. Ce coût sera surtout prévisible : Après avoir identifié les objectifs, les éléments de contexte, les acteurs et les points de vigilance, DNA évalue de façon précise les moyens humains et matériels nécessaires à la réalisation de chaque jalon.

Le fait de recourir à un cabinet de consultants RGPD/DPO externe est donc pour vous la garantie d’éviter les mauvaises surprises : les tarifs sont connus à l’avance et adaptés à votre situation particulière…pour une mise en conformité en toute sérénité !

Quels tarifs pour votre DPO externalisé à Lyon?

Vous vous demandez sans doute combien peut coûter un DPO externe. Nous vous proposons plusieurs forfaits d’accompagnement DPO, à partir de 3000€/an.
Ce qui fait notre différence ? Nos forfaits s’adaptent au degré de participation et au besoin de nos clients, car nous savons bien qu’une TPE n’a pas les mêmes besoins qu’une multinationale !
Nous évaluons au plus juste vos besoins en fonction notamment de la taille et de la nature des activités de votre entreprise, puis nous vous proposons l’accompagnement DPO le plus approprié.

Vous souhaitez en savoir davantage sur le coût d’un DPO externe N’hésitez pas à nous contacter (lien vers contact) ! Nous nous tenons à votre disposition pour échanger sur votre projet !

Plus qu’une obligation, le RGPD est un PROGRES !
DNA vous explique comment :

La mise en conformité au RGPD est souvent appréhendée par le biais des contraintes et obligations qu’elle occasionne. Il serait cependant extrêmement réducteur de se limiter à cette perception de la règlementation : le RGPD n’a pas été crée comme un frein à la productivité, par des juristes pour des juristes. Il a été pensé, avec tous les acteurs concernés, pour renforcer les droits fondamentaux des personnes, tout en respectant les intérêts de ces acteurs.

Les normes actuelles en matière de protection des données personnelles vont bien au-delà du cadre légal ou de la simple obligation, puisqu’elles font de vous un acteur essentiel dans la préservation des droits fondamentaux de chacun ! Le RGPD est également une porte d’entrée vers un espace numérique plus éthique, pour lequel nous devons tous nous engager.

Valoriser la mise en œuvre des outils du RGPD au sein de votre organisation est une opportunité de renforcer votre démarche qualité au quotidien et d’offrir à vos clients toute la transparence et la sécurité que les marchés et la société actuels réclament.

Du diagnostic initial au déploiement et au suivi des solutions de mise en conformité, les équipes de DNA, vous accompagnent pour faire de cette démarche un véritable atout pour votre entreprise.

Le RGPD : l’occasion de repenser l’Entreprise

Le déploiement d’outils RGPD permet la mise en place ou la révision de la sécurité, parfois délaissée par les TPE et PME faute d’expert en interne.
C’est aussi l’occasion d’être informé des dernières pratiques en matière de sécurité informatique. Outre le fait qu’elle protège de façon optimale les données à caractère personne de vos clients, prospects et collaborateurs, la cybersécurité contribue activement à la réduction de la cybercriminalité à travers le monde. Nous sommes tous acteurs de la protection des données !

La mise en œuvre du RGPD est également l’occasion d’optimiser et actualiser vos bases de données, repenser vos besoins, revoir et simplifier vos procédures, réorganiser les flux internes et optimiser les tâches relatives à vos traitements de données.

Enfin, de plus en plus d’entreprises voient la mise en conformité RGPD comme une opportunité de se démarquer de la concurrence en gagnant productivité et confiance des clients.

Vous souhaitez en savoir plus sur les moyens de tirer parti de l’obligation RGPD ? N’hésitez pas à nous contacter!

Le RGPD: des enjeux commerciaux, politiques et juridiques

Rendues obsolètes par l’évolution des normes technologiques et numériques qui permettent une collecte à grande échelle des données à caractère personnel, les anciennes directives européennes et lois internes sur la protection de la vie privée ne suffisent plus : un règlement européen harmonisant est devenu indispensable.

En 2012, dans un contexte de dissémination constante d’informations personnelles, d’insécurité informatique, de scandales politiques et de surveillance, la Commission Européenne décide de rédiger un règlement sur la protection des données personnelles. Une première ébauche voit le jour en novembre 2013, le Règlement n°2016/679, dit « Règlement général sur la protection des données » dit « RGPD » (GDPR en Anglais).
S’en suit alors un processus de négociation entre les organes européens et les divers acteurs de la protection des données (pays, entreprises, organismes publics, citoyens) afin d’obtenir un texte équilibré, équitable et respectueux des intérêts et droits de chaque acteur.
Le RGPD est définitivement adopté le 27 avril 2016, et l’Europe donne 2 ans à ses membres pour s’y conformer.
Il appartient désormais aux entreprises amenées à traiter des données personnelles de mettre en œuvre les actions nécessaires à la préservation des droits des personnes dont elles utilisent les données. La conformité au RGPD, c’est cela avant tout: la protection des droits fondamentaux.

La protection des données personnelles: être acteur de la conservation des droits fondamentaux de chacun

Le RGPD est souvent appréhendé par les entreprises comme une obligation alors qu’il sert pleinement les intérêts de l’entreprise.

L’article 1 de la loi Informatique et Libertés (modifiée) nous dit que « l’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ». Les données à caractère personnel collectées par les entreprises et les gouvernements permettent de localiser, suivre des habitudes, profiler des cibles marketing, suivre les achats des personnes, leurs préférences. Mais elles peuvent aussi influencer des votes politiques, des choix stratégiques, et impacter socialement et juridiquement la vie des personnes, accroître les inégalités en segmentant la population etc...
Si l’on pousse l’analyse à son paroxysme, le contrôle et la surveillance des individus peuvent induire une perte totale des libertés : une dictature numérique. Et c’est bien l'enjeu majeur du RGPD : la protection des droits fondamentaux de chacun.
Si les données personnelles que vous collectez vous échappent ou ne sont pas utilisées conformément à la réglementation, les droits des personnes peuvent être fortement et durablement impactés.

Le RGPD vous permet donc d’être garant de cette résistance à la dictature numérique.

Par ailleurs, la normalisation du recours aux intelligences artificielles dans le cadre des traitements de données personnelles (prise de décision automatisée, aide à la prise de décision) peut amplifier ces risques d’atteintes et impose aujourd’hui de mener également une réflexion éthique sur ce sujet (et une analyse en amont de tels projets). DNA est très engagé dans cette démarche et saura sensibiliser vos équipes sur ces sujets (lien vers les services : outils de conformité).

Vous souhaitez en savoir davantage sur la mise en conformité RGPD et ses enjeux ?N’hésitez pas à nous contacter! Les spécialistes de DNA vous répondront dans les meilleurs délais.

L’article 30, 5) du RGPD peut vous induire en erreur à ce sujet…car il commence par indiquer que l’obligation de mettre en place un registre de traitements ne s’applique pas à une entreprise ou une organisation comptant moins de 250 salariés. MAIS (c’est la suite le plus important) dès lors que le traitement remplit l’une de ces conditions :
- susceptible de comporter un risque pour les droits et libertés des personnes
- n’est pas occasionnel
- porte sur des données sensibles ou relatives à des condamnations pénales ou infractions
Vous avez l’obligation d’inscrire ce traitement au sein d’un Registre des traitements. En pratique, les entreprises traitent toutes des données de manière non-occasionnelle (à commencer par les données de ses propres salariés). L’obligation de mettre en place un registre de traitement des activités en tant que responsable de traitement s’applique quasiment à tout le monde donc, l’analyse de cette obligation est plus « complexe » lorsqu’il s’agit du registre des activités en tant que sous-traitant (gestion ponctuelle de données pour le compte d’un responsable de traitement, aucun impact sur les droits des personnes, aucune données sensibles).
Nous vous aidons à y voir plus clair en cas de questions à ce sujet!

NON. La désignation d’un DPO peut être l’une des obligations du RGPD et ce dernier sera en charge de la bonne gestion de la protection des données personnelles traitées eu sein de votre entreprise, ce qui ne signifie pas que votre entreprise sera en conformité, ni que votre DPO sera responsable en cas de non-conformité (il doit pouvoir bénéficier de toutes les ressources nécessaires pour exercer ses missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et le pouvoir de décision quant aux traitements de données n’appartient pas au DPO). Le RGPD comprend de nombreuses obligations (organisationnelles, juridiques, de sécurité) et le DPO sera votre guide dans leur respect.

NON. Il n’existe pas de droit de propriété sur les données personnelles. Les données personnelles sont considérées comme des éléments à part entière de la personnalité et donc de la vie privée des personnes concernées, droit fondamental. Il n’est pas possible d’être propriétaire de données personnelles, mais il est possible d’être propriétaire de la base de données contenant ces données (notamment si cette compilation est protégeable par le droit d’auteur).

SI. Une donnée professionnelle peut être une donnée personnelle. « Personnelle » ne signifie pas que cela concerne la vie personnelle. Une donnée à caractère personnel se définit comme toute information relative à une personne physique identifiée ou qui peut être identifiée de façon directe ou indirecte ( ex : nom + prénom ou mail ou photo = personne identifiée directement / ex : une adresse IP + numéro de bureau + une date de naissance = personne identifiable de façon indirecte, ces informations sont toutes des données personnelles).

La mise en conformité RGPD… un véritable gage de confiance

La confiance est le fer de lance de l’humanité. En tant que PME/TPE, vous le savez bien : sans confiance, il n’y a pas de collaboration possible. Et si vous envisagiez la mise en conformité RGPD comme un outil pour gagner la confiance de vos clients?
En plaçant la protection des données à caractère personnel au cœur de votre stratégie, vous allez véhiculer une image positive de votre entreprise auprès de vos collaborateurs et de vos clients: vous mettre en conformité prouve l’importance que vous accordez à la protection de la vie privée et montre que vous œuvrez pour un monde plus éthique!
Grâce à la mise en conformité RGPD, vous soignez votre RSE (Responsabilité Sociétale des Entreprises): vous gagnez non seulement en transparence, mais aussi en confiance auprès de vos clients, salariés, partenaires et collaborateurs qui, grâce à cette nouvelle règlementation, pourront bénéficier de droits et de contrôle sur leurs données (accès, suppression, limitation, rectification, opposition).


La règlementation RGPD au service de votre e-réputation

L’instauration de ce lien de confiance, mis à l’épreuve par certains scandales et dérives concernant l’utilisation des données personnelles par certaines entreprises, contribue à l’e-réputation de votre entreprise.
La mise en conformité RGPD permet de projeter une image positive de votre entreprise sur le web: les clients et les partenaires économiques seront plus enclins à se tourner vers une société conforme au RGPD et qui bénéficie d’une excellente e-réputation. En appliquant la nouvelle règlementation en matière de protection des données, vous garantissez à vos potentiels clients une sécurité optimale de leurs informations à caractère personnel.


Une utilisation pertinente du RGPD au service de votre performance

La mise en place du RGPD, c’est aussi l’opportunité pour votre entreprise de gagner en productivité et d’améliorer vos performances: la mise en conformité peut devenir un véritable avantage concurrentiel pour votre entreprise.
La gestion optimale et pertinente de votre base de données est un élément important qui vous permet d’optimiser votre stratégie marketing et votre efficacité commerciale.
La collecte et l’utilisation des données personnelles sera mieux orientée et ciblera ainsi des prospects qualifiés. Vous gagnez un temps considérable pour la prospection : vos campagnes de mailings et de communication ne s’adressent alors qu’aux prospects réellement intéressés par les produits ou services de votre entreprise.

Vous souhaitez de plus amples renseignements pour savoir comment tirer profit de la mise en conformité RGPD? N’hésitez pas à nous contacter, nous vous répondrons dans les plus brefs délais!

Le RGPD s’applique aux traitements de données à caractère personnel, sur TOUS les supports (informatique, papier etc…).

Le RT : décide des finalités et des moyens de traitement des données personnelles. Il décide de la création d’un traitement de données, de son but, de la manière dont sera mis en œuvre (avec quels outils/quelle technologie etc…) le traitement des données à caractère personnel, à quel moment il va agir sur les données etc…En pratique c’est la personne morale incarnée par son représentant légal.
Le ST : effectue des opérations sur les données pour le compte et sur instructions du RT. Il signe un contrat avec le RT qui lui confie certaines tâches et s’assure qu’il dispose des garanties techniques et organisationnelles lui permettant de traiter les données à caractère personnel qui lui sont confiées conformément à la réglementation. En pratique la frontière entre les deux est parfois complexe à établir en fonction des activités de traitement et des critères édictés par la Doctrine et le CEPD, et parfois une responsabilité conjointe ressort de l’analyse relative à la responsabilité. DNA peut vous aider à définir votre niveau de responsabilité.

Déléguer une opération de traitement de données personnelles ne transfère pas votre responsabilité. Si vous participez à la définition des finalités et aux moyens essentiels de traitements, vous restez responsable de traitement (responsable conjoint lorsque la définition de ces éléments est réalisée de concert avec une autre entité). La responsabilité de traitement ne se délègue pas.

NON. Une information complète mais claire et aisément accessible doit être transmise aux personnes concernées, relativement à votre usage de leurs données personnelles. Cette information ne peut donc pas être « noyée » au sein d’un autre texte informatif, comme des CGU. Par ailleurs, si vous basez l’un de vos traitements sur le consentement, ce dernier doit respecter les caractéristiques de l’article 7 du RGPD et doit notamment être spécifique et éclairé. Ce qui implique que chaque utilisation des données personnelles (finalité) doit être présentée de façon distincte et non au sein d’un texte global, et que le recueil du consentement ne peut pas être global non-plus (acceptation des CGU ne vaut pas consentement pour la finalité spécifique de traitement basée sur le consentement).

Non. Mettre en place des outils de conformité ne signifie pas être « conforme ». Le RGPD impose notamment la mise en œuvre de mesures organisationnelles et de sécurité effectives, et il impose surtout de respecter ce qui est indiqué au sein de vos « outils RGPD » ex : une politique de confidentialité sur un site internet (outil RGPD) = respect des obligations de loyauté et transparence (font partie des obligations pour être « conforme »). Si ce document indique que vous traitez des données personnelles dans un but, alors que les données sont également utilisées à d’autres fins, ou si ce document indique la mise en œuvre de mesures de sécurité alors que celles-ci ne sont pas effectives : Vous n’êtes pas « conforme ».…et êtes même en situation de non-respect des principes du RGPD. Attention : pour être « conforme » il faut donc non seulement mettre en place des outils de conformité mais s’y conformer…

Oui, mais en respectant certaines bonnes pratiques que la CNIL a rappelé le 30 avril 2020.
Que vous réutilisiez vous-même les données accessibles en ligne (ex : un annuaire téléphonique) ou que vous utilisiez un outil spécifique pour ce faire (logiciel « d’aspiration de données »), la CNIL rappelle l’exigence de respect de certains principes. Et Il existe beaucoup d’outils de recherche et d’extraction de données publiées sur internet dont l’usage représentent à priori un gain de temps…mais absolument pas la garantie d’un usage conforme au RGPD et à la Loi informatique et Libertés.
En matière de prospection commerciale (BtoC), les principes à respecter et bonnes pratiques dans ce cadre sont les suivants :
- Vérifier la nature et la source des données : Il faut avoir la garantie que les données que vous collectez de façon indirecte peuvent être réutilisées. Ex : certains sites web interdisent une aspiration et réutilisation de données à des fins commerciales dans leur CGU. Si vous avez recours à un logiciel d’aspiration qui ne vous garantit pas avoir respecter les CGU de tous les sites dont il aspire les données, vous risquez de réutiliser des données sans avoir le droit.
- Informer les personnes : notamment concernant la source des données (article 14 RGPD : collecte indirecte). Vous devrez fournir cette information « au plus tard au moment de la première communication avec les personnes dont les données sont traitées ».
- recueillir le consentement des personnes (article 6.1.a du RGPD), quand ces personnes, qui ont diffusé leurs données, ne peuvent raisonnablement pas s’attendre à ce que vous les démarchiez (ex : prospection commerciale par une autre société). Le consentement doit être doit être obtenu avant la mise en œuvre de la prospection. Il existe beaucoup d’outils de recherche et d’extraction de données publiées sur internet dont l’usage représentent à priori un gain de temps…mais absolument pas la garantie d’un usage conforme au RGPD et à la Loi informatique et Libertés.
- respecter le droit d’opposition figurant à l’article 21 du RGPD (ex : ne pas contacter des personnes inscrites sur des listes anti-prospection)
- minimiser la collecte des données
- encadrer la relation contractuelle avec vos sous-traitants (ex: un prestataire qui utilise un logiciel d’aspiration de données) dans le respect des dispositions de l’article 28 du RGPD.
- Réaliser, au besoin, une analyse d’impact relative à la protection des données (AIPD). A ce sujet la CNIL rappelle que si cette dernière n’est pas obligatoire elle fait partie des bonnes pratiques à adopter.

En pratique, s’assurer que le logiciel d’aspiration collecte uniquement des données que l’on peut réutiliser est très chronophage…pour une collecte pas toujours minimisée, ni pertinente au regard du but recherché. Une analyse en amont est un réel gain de temps et d’optimisation des méthodes de travail et DNA peut vous aider.

NON. Le consentement est l’une des bases pouvant rendre licite un traitement de données personnelles (et parfois il fait partie des exceptions autorisant un traitement étant de base interdit/ ex: traitement de données sensibles). La licéité du traitement est un des grands principes du RGPD (article 6 RGPD). Cet article énumère les 6 « cas » autorisant un traitement de données personnelles. Le consentement est le premier « cas » énoncé par cet article aux côtés de l’exécution contractuelle, de l’obligation légale, de la mission d’intérêt public, de l’intérêt légitime et de la sauvegarde des intérêts vitaux. Mais cela ne signifie pas qu’il doit être préféré à un autre ou qu’il est obligatoire. Le recours au consentement pour justifier d’un traitement doit être le fruit d’une analyse (analyse des bases juridiques de traitement des données) car ce recours implique le respect des caractéristiques du consentement : pas toujours possible, et parce que l’étendue des droits des personnes sera directement impactée (portabilité ; opposition etc..).
Ex : en matière RH, la majorité des traitements de données ne peuvent pas être basé sur le consentement. En effet, le consentement ne sera pas considéré comme libre du fait du lien de subordination entre le salarié et son employeur. Il n’est donc pas le fondement le plus adapté, dans ce cas, et peut entraîner des poursuites sur le fondement du non-respect de l’article 7 du RGPD (caractéristiques du consentement).

FAUX. Le RGPD s’applique à tout traitement de données personnelles. Et « Traitement » ne veut pas forcément dire stockage. La CNIL précise qu’un « un traitement de données personnelles est une opération, ou ensemble d’opération, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre formelle mise à disposition, rapprochement) ». Si des données personnelles transitent par vos services, vos services traitent des données personnelles et sont ainsi soumis au RGPD (si dans le champ territorial bien sûr). Votre niveau de responsabilité et vos obligations, eux, pourront évoluer en fonction de vos activités de traitement, votre implication dans le traitement en question.

NON. L’une des nouveautés du RGPD c’est son extraterritorialité. Il est applicable aux traitements de données personnelles effectués par une entreprise ou un organisme établi sur le territoire de l’UE, mais est également applicable aux personnes concernées par le traitement, qui se trouvent sur le territoire de l’UE. Donc si des entreprises ou organismes hors UE mettent en œuvre des traitements de données qui concernent un résident de l’UE, le RGPD leur sera applicable.
Le RGPD s’applique : si l’entreprise réside en UE, si la personne concernée par le traitement réside en UE.

FAUX. Une information ne rapportant pas à une personne peut être une donnée personnelle et donc soumise au RGPD si elle se rapporte à une personne grâce à des recoupements avec d’autres données provenant d’autres bases, d’autres sources. Ex : une clé publique sur la Blockchain, si elle est recoupée avec des informations de paiement sur une Plateforme de monnaies virtuelles, peut conduire à une personne définie, et est donc une donnée personnelle. Un numéro identifiant sur une application n’identifie pas directement une personne, tout comme un numéro de bureau ou une adresse IP, mais sont autant d’informations qui, avec des recoupements (même infinis) permettent de retrouver une personne déterminée. Le RGPD s’applique à ces données même pseudonymes. Il ne s’applique pas aux données anonymisées. Les techniques d’anonymisation admises par la CNIL sont très strictement encadrées et nécessitent une analyse documentée.

NON. La CNIL peut contrôler tous les organismes qui traitent des données personnelles. Ces contrôles augmentent notamment du fait de la sensibilité grandissante des personnes concernées vis à vis de la protection de leurs données personnelles. Or, les plaintes et réclamations sont la cause principale d’un contrôle de la CNIL. Donc si vous faites l’objet d’une plainte ou d’une réclamation vous êtes susceptible de faire l’objet d’un contrôle, quelle que soit la taille de votre structure.
La CNIL peut également effectuer un contrôle sur sa propre initiative et établit chaque année un programme de contrôles à venir en fonction de thématiques prioritaires d’actualité (cette année les applications de e-santé font partie des thématiques prioritaires de contrôle), indépendamment de la taille des organismes traitant les données. En 2019, la CNIL a procédé à 300 contrôles.

NON. Les déclarations à la CNIL sont certes supprimées, mais cela ne décharge pas les entreprises. Elles sont au contraire responsabilisées par le RGPD car elles doivent mettre en œuvre des outils prouvant leur conformité en cas de contrôle. Par ailleurs, toutes les formalités auprès de la CNIL n’ont pas été supprimées. Ex : en cas de recherche dans le domaine de la santé, il peut y avoir une obligation de demande d’autorisation.

NON. Le droit à l’effacement ou « droit à l’oubli » n’est pas un droit absolu. Et certaines données ne doivent absolument pas être effacées car elles répondent à une obligation légale par exemple. L’exercice du droit à l’effacement doit faire l’objet de process interne défini afin de respecter l’article 17 du RGPD. Le respect de ce droit suppose une bonne définition des finalités et des bases légales de traitement en amont, et la mise en place d’une politique de conservation des données personnelles.